云计算平台SCP技术白皮书

深信服云计算平台SCP技术白皮书总结

1. 产品概述

• 分层架构：SCP以HCI为底座，提供云服务目录，连接SCC云服务平台，管理异构资源池，并支持多租户能力。SCP与HCI分层设计，可独立运营或纳管。
• 微服务：SCP采用微服务架构，通过API网关进行认证和权限管理，满足多租户RBAC需求。内部服务通过注册、认证、代理相互访问，支持分布式扩展。
• 分布式：SCP采用分布式架构，无状态服务可横向扩展，实现大规模集群部署。
• 高可用：SCP通过分布式架构实现系统高可用，多节点下无状态服务运行，有状态服务在leader节点运行，提供数据强同步和负载分担。

2. 计算服务

• 云主机服务：基于HCI的aSV虚拟化技术，支持多种云主机类型（x86、ARM、GPU、VMware虚拟机等），提供全生命周期管理、分组管理和数据保护。
• 镜像管理：支持公有镜像、私有镜像和网络设备镜像，提供镜像上传、分发和编辑功能。
• 裸金属纳管：支持纳管物理机，进行硬件层面管理和系统监控。
• 弹性伸缩：根据用户自定义策略自动调整伸缩组中的计算资源，实现业务负载的自动扩展。
• 网络服务：
  • 虚拟私有网络（VPC）：提供内网、外网、专线和公共服务网络，支持多线路多出口、租户多VPC、分布式虚拟交换机（DVS）、路由器、DNS/DHCP和端口映射等功能。
  • 弹性IP：提供EIP地址池，支持与云主机、VPC路由器、NFV绑定，实现外网访问和端口映射。
  • 公共服务网络：为租户提供访问公共服务的网络通路，通过策略路由实现流量引流。
  • 网络编排：支持经典网络和VPC网络，提供可视化拖拽式编排功能。
  • 网络连通域：由多个资源池组成，实现云上虚拟设备跨资源池互联互通，支持VPC网络跨资源池和VPC出口跨资源池HA。

3. 云安全服务

• 分布式防火墙：实现虚拟机之间的微隔离，对数据中心内部流量进行L3-L4层安全防护。
• 云防火墙（vAF）：以路由模式部署在VPC网络出口，提供即用即用的安全防护能力。
• 云安全中心：统一管理和联动各类安全组件，提供等保方案模板、安全分析和风险可视大屏。
• 终端防护杀毒（EDR）：提供终端安全防护，支持威胁解除和病毒查杀，具备AI云查杀功能。
• 安全感知平台（SIP）：基于AI和大数据安全检测技术，提升检测精确度，联动各类安全设备进行处置。

4. 业务运营

• 分级分权：SCP平台角色分为平台管理员、租户和用户，分别具有不同权限和职责。
• 多租户管理：支持三级租户模型，实现资源分配和分级运营。
• 配额管理：按需分配基础资源和安全资源配额，提高运营效率。
• 自助工单：提供多租户自助服务，用户可申请资源配额和云主机资源。
• 计量计费：提供资源计费计量服务，根据资源使用情况统计费用并输出报表。

5. 运维监控

• 全栈式监控：对平台中所有资源、告警、性能和容量使用情况等进行监控，实时了解健康状态。
• 监控中心：以可视化图形界面展示监控信息，支持大屏展示和快速定位问题。
• 告警服务：及时发布告警信息并通知管理员，支持自定义告警规则和告警日志。
• 统一/独立授权：支持对SCP、HCI集群和安全组件进行统一或独立授权。
• 运维平台（aOPS）：提供资源管理、智能监控、精细化告警策略和虚拟机闲置识别等功能。

6. 应用中心

• 应用中心实现原理：通过murano、heat、agent等模块实现应用部署和资源编排。
• 实现流程：采用DSL语言定义应用软件包配置，通过脚本执行完成应用部署。
• 当前应用中心提供的应用类型：包括数据库（MySQL、MongoDB、Redis）、中间件（Kafka、RabbitMQ）和大数据组件（aBDI、CDH）。